ISO 27013 Nedir? 27001 ve 20000-1 Entegrasyonu
ISO/IEC 27013, ISO/IEC 27001 (Bilgi Güvenliği Yönetim Sistemi) ile ISO/IEC 20000-1 (BT Hizmet Yönetim Sistemi) standartlarının entegre, yani birlikte uygulanmasına rehberlik eden bir kılavuz standardıdır. Sertifikalandırılabilir bir gereksinim standardı değildir; her iki yönetim sistemini aynı kuruluşta verimli biçimde kurmak ya da mevcut bir sisteme diğerini eklemek isteyen kuruluşlara senaryolar, yaklaşımlar ve faydalar sunar.
Özetle:
- ISO/IEC 27013, ISO/IEC 27001 ile ISO/IEC 20000-1'in birlikte (entegre) uygulanmasına rehberlik eder.
- Güncel sürüm ISO/IEC 27013:2021'dir (önceki sürümler 2012 ve 2015).
- Sertifikalandırılabilir bir gereksinim standardı değil, bir entegrasyon kılavuzudur.
- İki sistemi sıfırdan birlikte kurma veya birini diğerine ekleme gibi farklı senaryolar sunar.
- Mükerrer dokümantasyon, denetim ve süreçleri azaltarak maliyet ve verimlilik faydası sağlar.
- Bilgi güvenliği ile BT hizmet yönetiminin ortak hedeflerini hizalar.
ISO/IEC 27013 Ne İşe Yarar?
Birçok kuruluş hem bilgi güvenliğini yönetmek için ISO/IEC 27001'i hem de BT hizmetlerini yönetmek için ISO/IEC 20000-1'i uygular. Bu iki standart, ayrı ayrı ele alındığında benzer süreçlerin (politika yönetimi, risk değerlendirme, olay yönetimi, sürekli iyileştirme) tekrar tekrar kurgulanmasına yol açabilir.
ISO/IEC 27013, bu iki yönetim sistemini tek bir bütünleşik yapıda nasıl kuracağınızı, ortak süreçleri nasıl paylaşacağınızı ve çakışmaları nasıl gidereceğinizi gösterir. Böylece kuruluş, hem güvenli hem de hizmet odaklı bir BT yönetimini tek bir çatı altında yürütebilir.
ISO/IEC 27013 Sürümleri
| Sürüm | Durum | Açıklama |
|---|---|---|
| ISO/IEC 27013:2012 | Yürürlükten kalktı | İlk yayımlanan sürüm |
| ISO/IEC 27013:2015 | Yürürlükten kalktı | Güncellenmiş ikinci sürüm |
| ISO/IEC 27013:2021 | Güncel | Yürürlükteki en son sürüm |
Entegrasyon Senaryoları
ISO/IEC 27013, kuruluşun mevcut durumuna göre farklı yaklaşım senaryoları tanımlar. Bu senaryolar, hangi standartla başlandığına bağlı olarak entegrasyona giden yolu netleştirir.
| Senaryo | Başlangıç Durumu | Yaklaşım |
|---|---|---|
| Sıfırdan birlikte kurma | Hiçbir sistem yok | İki standardı baştan entegre olarak kurma |
| 27001'e 20000-1 ekleme | Mevcut BGYS var | Bilgi güvenliği sistemine hizmet yönetimini ekleme |
| 20000-1'e 27001 ekleme | Mevcut HYS var | Hizmet yönetimi sistemine bilgi güvenliğini ekleme |
| İki mevcut sistemi birleştirme | Her iki sistem ayrı var | Ayrı yürüyen iki sistemi tek yapıda bütünleştirme |
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
ISO 27001 ve ISO 20000-1 Ortak ve Farklı Noktaları
İki standart, ortak yönetim sistemi öğelerini paylaşır ancak odakları farklıdır. ISO/IEC 27013 bu örtüşmeyi ve ayrışmayı netleştirir.
| Konu | ISO/IEC 27001 | ISO/IEC 20000-1 |
|---|---|---|
| Temel odak | Bilgi güvenliği | BT hizmet yönetimi |
| Amaç | Bilginin gizlilik, bütünlük ve erişilebilirliği | Hizmet kalitesi ve değerinin sağlanması |
| Risk yaklaşımı | Bilgi güvenliği riskleri | Hizmet sürekliliği ve hizmet riskleri |
| Ortak öğeler | Liderlik, politika, risk yönetimi, olay yönetimi, sürekli iyileştirme | Liderlik, politika, risk yönetimi, olay yönetimi, sürekli iyileştirme |
| Yapı | Üst düzey yapı (Annex SL) temelli | Üst düzey yapı (Annex SL) temelli |
Her iki standart da ortak bir üst düzey yapıyı paylaştığından, liderlik, dokümante edilmiş bilgi, performans değerlendirme ve sürekli iyileştirme gibi maddeler büyük ölçüde örtüşür. Bu örtüşme, entegrasyonun en güçlü dayanak noktasıdır.
Entegrasyonun Faydaları
| Fayda | Açıklama |
|---|---|
| Maliyet azaltma | Tek denetim, tek dokümantasyon seti ve paylaşılan süreçlerle giderlerin düşmesi |
| Verimlilik | Mükerrer iş ve çakışan süreçlerin ortadan kalkması |
| Tutarlılık | Politika, rol ve sorumlulukların tek çatı altında hizalanması |
| Daha iyi yönetişim | Bilgi güvenliği ile hizmet yönetiminin birbirini desteklemesi |
| Hızlı uygulama | Ortak öğelerin yeniden kullanılmasıyla kurulum süresinin kısalması |
Kimler İçin Uygundur?
ISO/IEC 27013, özellikle hem bilgi güvenliği hem de BT hizmet yönetimini yöneten kuruluşlar için değerlidir. Veri merkezleri, yönetilen hizmet sağlayıcıları (MSP), bulut hizmeti sağlayıcıları, BT departmanları ve dış kaynak BT hizmeti veren şirketler bu kılavuzdan doğrudan yararlanır. Halihazırda ISO/IEC 27001 veya ISO/IEC 20000-1 sertifikasına sahip olup diğerini de eklemeyi planlayan kuruluşlar için de yol gösterici niteliktedir.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
ISO/IEC 27013, ISO/IEC 27001 (Bilgi Güvenliği Yönetim Sistemi) ile ISO/IEC 20000-1 (BT Hizmet Yönetim Sistemi) standartlarının bir kuruluşta birlikte, yani entegre biçimde uygulanmasına rehberlik eden bir kılavuz standardıdır. Güncel sürümü ISO/IEC 27013:2021'dir.
Çünkü iki standart, liderlik, politika yönetimi, risk yönetimi, olay yönetimi ve sürekli iyileştirme gibi birçok ortak öğeyi paylaşır. Bu öğeleri ayrı ayrı yönetmek mükerrer iş, fazladan dokümantasyon ve yüksek maliyet yaratır. Entegrasyon, bu örtüşen süreçleri tek bir yapıda birleştirerek verimlilik ve tutarlılık sağlar.
Hayır. ISO/IEC 27013 sertifikalandırılabilir bir gereksinim standardı değildir; bir entegrasyon kılavuzudur. Sertifikasyon, entegre edilen iki gereksinim standardı olan ISO/IEC 27001 ve ISO/IEC 20000-1 üzerinden ayrı ayrı alınır. ISO/IEC 27013 ise bu iki sistemin birlikte nasıl kurulacağına yol gösterir.
Başlıca faydalar; tek denetim ve ortak dokümantasyon sayesinde maliyet azaltma, mükerrer süreçlerin kaldırılmasıyla verimlilik artışı, politika ve sorumlulukların hizalanmasıyla tutarlılık, daha iyi yönetişim ve ortak öğelerin yeniden kullanılmasıyla daha hızlı uygulamadır.
Hem bilgi güvenliğini hem de BT hizmet yönetimini yöneten tüm kuruluşlar için uygundur. Özellikle veri merkezleri, yönetilen hizmet sağlayıcıları, bulut sağlayıcıları, BT departmanları ve halihazırda ISO/IEC 27001 veya ISO/IEC 20000-1'e sahip olup diğerini eklemek isteyen şirketler için değerlidir.
